Správa online hesel

Pane Rishere, jste ředitel produktového managementu ve společnosti Google a pracujete v oblasti internetové bezpečnosti. Už jste se někdy stal obětí online podvodu?

Mark Risher: Nenapadá mě žádný konkrétní příklad, ale předpokládám, že někdy asi ano. Při surfování na internetu dělám chyby stejně jako kdokoli jiný. Nedávno jsem například zadal heslo k účtu Google na jiném webu. Naštěstí jsem si do Chromu nainstaloval plugin Ochrana hesla, který mě na chybu upozornil. Potom jsem heslo samozřejmě okamžitě změnil.

Stephan Micklitz, ředitel vývoje v týmu společnosti Google pro ochranu soukromí a zabezpečení: To se prostě stává. Jakmile si nějaké heslo zapamatujeme, snadno se může stát, že ho někam zadáme, a nevěnujeme dostatečnou pozornost tomu, kam se vlastně přihlašujeme.

Risher: Rádi bychom se hesel úplně zbavili, ale bohužel to není tak jednoduché.

„Řada bezpečnostních opatření funguje na pozadí.“

Mark Risher

Co je na heslech tak špatného?

Risher: Mají hodně nedostatků. Je snadné je odcizit, ale těžké zapamatovat, a správa hesel může být otravná. Mnoho uživatelů si myslí, že heslo má být co nejdelší a nejsložitější. To ale ve skutečnosti zvyšuje bezpečnostní riziko. Uživatelé mají tendenci používat komplikované heslo u více účtů, díky čemuž jsou ještě zranitelnější.

Micklitz: Čím méně často heslo zadáváte, tím lépe. Proto byste se neměli ke svým účtům opakovaně přihlašovat a odhlašovat. Postupně to může vést k tomu, že uživatelé nevěnují pozornost tomu, na které webové stránce právě jsou, a tím je situace pro zloděje hesel snazší. Proto našim uživatelům doporučujeme, aby zůstali přihlášeni.

Moje internetové bankovnictví mě například automaticky odhlásí, když jsem několik minut neaktivní.

Micklitz: Mnoho společností se bohužel stále řídí zastaralými zásadami. Rada, abyste se soustavně odhlašovali, pochází z doby, kdy většina lidí chodila na web v internetových kavárnách nebo z počítačů, které sdíleli s dalšími lidmi. Náš výzkum ukazuje, že čím častěji lidé své heslo zadávají, tím pravděpodobněji se stanou obětí kybernetického útoku. Proto je bezpečnější jednoduše aktivovat na mobilním telefonu nebo počítači zámek obrazovky a používat bezpečné heslo.

Risher: Přesně tak. Po světě bohužel koluje spousta falešných nebo nepraktických rad, které uživatele spíš matou. V nejhorším případě je to tak znejistí, že to prostě vzdají: „Pokud je tak těžké se chránit, tak to nemá cenu.“ Asi jako byste nechali otevřené vchodové dveře, protože víte, že tam venku jsou zloději.

Mark Risher je ředitel produktového managementu pro zabezpečení a ochranu soukromí ve společnosti Google. V roce 2010 založil společnost Impermium zaměřenou na oblast kybernetické bezpečnosti, kterou společnost Google koupila v roce 2014. Od té doby Risher pracuje v centrále společnosti v Mountain View v Kalifornii. Vpravo: bezpečnostní klíč, který se používá v programu pokročilé ochrany. Je k dispozici za malý poplatek a lze ho používat na různých webech.

Jak by Google zajistil bezpečnost uživatelů, kdyby se zrušila hesla?

Risher: Řada bezpečnostních opatření funguje už dnes, ale nejsou na první pohled vidět. Když nějaký hacker zjistí vaše heslo a telefonní číslo, přesto vám budeme schopni na 99,9 % zaručit, že váš účet Google bude v bezpečí. Například kontrolujeme, z jakého zařízení a z jaké země se kdo přihlašuje. Pokud se někdo pokusí přihlásit k vašemu účtu několikrát za sebou s nesprávným heslem, spustí se v našem bezpečnostním systému upozornění.

Micklitz: Také jsme vyvinuli nástroj Kontrola zabezpečení, ve kterém si uživatelé mohou projít krok za krokem osobní nastavení zabezpečení ve svém účtu Google. A díky programu pokročilé ochrany jdeme ještě o krok dále.

V čem program spočívá?

Micklitz: Původně byl vyvinut pro lidi, jako jsou politici, ředitelé společností nebo novináři, o které by se zločinci mohli zajímat více než o ostatní. Teď je ale dostupný pro kohokoli, kdo chce rozšířenou online ochranu. Přístup k chráněnému účtu Google získají jen ti, kdo mají zvláštní USB nebo Bluetooth klíč.

Risher: Ze zkušeností víme, jak účinný tento systém je, protože bezpečnostní klíč používají kvůli zabezpečení svého firemního účtu všichni zaměstnanci Googlu. Od zavedení tohoto bezpečnostního opatření jsme neměli jediný případ phishingu, který by bylo možné zpětně dosledovat k potvrzení hesla. Hardwarový klíč výrazně zlepšuje bezpečnost účtu Google, protože i když útočníci heslo znají, bez klíče nemohou získat k účtu přístup. Online účet lze obecně prolomit odkudkoli na světě, to však neplatí pro účty, které jsou chráněné fyzickým bezpečnostním klíčem.

Micklitz: Mimochodem, tyto bezpečnostní klíče lze používat na mnoha webech – nejen pro program pokročilé ochrany společnosti Google. Můžete si je koupit za malý poplatek od nás nebo od jiných poskytovatelů. Všechny podrobnosti najdete na g.co/advancedprotection.

„Pro lidi je někdy obtížné posoudit rizika na internetu.“

Stephan Micklitz

Jaká největší nebezpečí podle vašeho názoru dnes na internetu číhají?

Risher: Jedním z problémů je řada seznamů uživatelských jmen a hesel, které se dají online najít. Náš kolega Tadek Pietraszek a jeho tým strávil šest týdnů procházením internetu a našel 3,5 miliardy kombinací uživatelských jmen a hesel. Nebyla to ovšem data odcizená z účtů Google – byla ukradena od jiných poskytovatelů. Jelikož však mnoho uživatelů používá stejné heslo pro několik účtů, představují tyto seznamy problém i pro nás.

Micklitz: Já jako velký problém vnímám phishing zacílený na konkrétní uživatele nebo organizace, tzv. spear phishing. Vypadá tak, že útočník vytvoří tak chytře personalizovanou zprávu, že pro oběť je velmi obtížné rozpoznat její podvodný záměr. Vidíme, že hackeři tuto metodu využívají čím dál víc – a úspěšně.

Risher: Souhlasím se Stephanem. Spear phishing navíc není tak časově náročný, jak by se mohlo zdát. Personalizovat podvodný e-mail často trvá pouze několik minut. Hackeři využívají informace, které o sobě uživatelé sami zveřejňují online. Je to problém například u kryptoměn: když někdo veřejně prohlašuje, že vlastní 10 000 bitcoinů, nemělo by ho překvapit, že to přitáhne pozornost kybernetických zločinců.

Micklitz: Asi jako bych se postavil doprostřed tržiště s megafonem a oznámil, jaký mám zůstatek na účtu. Kdo by něco takového udělal? Nikdo. Ale pro lidi je někdy obtížné posoudit rizika na internetu.

Je stále problémem pravidelný spam?

Risher: Větší výzvu pro nás představuje propojení zařízení a služeb. Lidé nejsou online jenom na počítačích a chytrých telefonech – používají také televize, chytré hodinky a chytré reproduktory. Na různých zařízeních běží různé aplikace, což hackerům nabízí mnoho potenciálních míst k útoku. A jelikož je mnoho zařízení dnes propojených, mohou se hackeři pomocí jednoho zařízení pokusit získat informace uložené v jiných zařízeních. Takže v dnešní době musíme řešit tuto otázku: jak zaručit bezpečnost našich uživatelů navzdory tolika novým způsobům, jakými svá zařízení používají?

Micklitz: Začali jsme tím, že jsme se sami sebe zeptali, která data pro kterou službu opravdu potřebujeme – a která data si služby mezi sebou vyměňují.

Jak využíváte umělou inteligenci k ochraně uživatelů?

Micklitz: Google používá umělou inteligenci už docela dlouho.

Risher: Tato technologie byla zabudována do naší e-mailové služby Gmail už od začátku. Společnost Google dokonce vyvinula vlastní knihovnu pro strojové učení s názvem TensorFlow, která pomáhá programátorům, kteří na strojovém učení pracují. Knihovna TensorFlow je přínosná zejména pro Gmail, protože velmi dobře slouží při rozpoznávání typických vzorců.

Můžete vysvětlit, jak rozpoznávání vzorců funguje?

Risher: Řekněme, že u několika uživatelů zaznamenáme podezřelou aktivitu, kterou nedokážeme kategorizovat. Stroj, který se sám učí, může tyto události porovnat a v nejlepším případě zjistí nové formy podvodu dříve, než se začnou šířit online.

Micklitz: Má to ovšem svá omezení: stroj je jen tak inteligentní, jako osoba, která ho používá. Pokud stroji dáme falešná nebo jednostranná data, vzorce, které rozpozná, budou také falešné nebo jednostranné. I přes veškerou publicitu, které se umělé inteligenci dostává, závisí její účinnost vždy na osobě, která ji používá. Je na uživateli, aby stroj vytrénoval pomocí kvalitních dat a aby výsledky posléze zkontroloval.

Risher: Jednou, když jsem pracoval pro jiného poskytovatele e-mailové služby, jsme dostali zprávu od zaměstnance banky v Lagosu. V té době kolovala spousta podvodných e-mailů, které údajně přicházely z Nigérie. Ten člověk si stěžoval, že jeho e-maily skončí vždy ve spamu příjemců, ačkoli pracuje pro renomovanou banku. To je typický příklad falešné generalizace při rozpoznání vzorců kvůli nedostatku informací. Dokázali jsme ten problém vyřešit tím, že jsme algoritmus upravili.

.

Foto: Conny Mirbach